생성형 AI 사용 사례를 위한 VPC 제어

이 문서에는Google Cloud에서 생성형 AI 워크로드를 실행할 때 Virtual Private Cloud (VPC)에 관한 권장사항과 가이드라인이 포함되어 있습니다. Vertex AI와 함께 VPC를 사용하여 안전한 환경에서 AI 리소스를 인터넷에서 격리합니다. 이 네트워크 구성은 무단 액세스 및 잠재적인 사이버 공격으로부터 민감한 정보와 모델을 보호하는 데 도움이 됩니다.

VPC 네트워크 내에서 세부적인 방화벽 규칙과 액세스 제어를 정의하여 트래픽을 제한하고 특정 리소스에 대한 승인된 연결만 허용할 수 있습니다.

기능 또는 보안 요구사항에 따라 Vertex AI 리소스를 별도의 VPC 네트워크로 구성합니다. 이러한 유형의 조직은 리소스를 격리하고 서로 다른 프로젝트 또는 팀 간의 무단 액세스를 방지하는 데 도움이 됩니다. 기밀 데이터로 모델을 학습하는 것과 같은 민감한 워크로드 전용 VPC 네트워크를 만들어 승인된 사용자 및 서비스만 네트워크에 액세스할 수 있도록 할 수 있습니다.

Cloud VPN 또는 Cloud Interconnect를 사용하여 온프레미스 인프라와 Vertex AI 환경 간에 보안 네트워크 연결을 설정할 수 있습니다. Cloud VPN 또는 Cloud Interconnect를 사용하면 비공개 네트워크와 Google Cloud 리소스 간에 원활한 데이터 전송 및 통신이 가능합니다. 모델 학습을 위해 온프레미스 데이터에 액세스하거나 추론을 위해 온프레미스 리소스에 모델을 배포하는 등의 시나리오에 이 통합을 고려하세요.

필수 VPC 제어

VPC를 사용할 때는 다음 제어를 적극 권장합니다.

기본 네트워크 생성 차단

Google 제어 ID VPC-CO-6.1
카테고리 필수
설명
compute.skipDefaultNetworkCreation 불리언 제약 조건은 Google Cloud 프로젝트를 만들 때 기본 네트워크 및 관련 리소스의 생성을 건너뜁니다. 기본적으로 네트워크는 안전하지 않을 수 있는 방화벽 규칙과 네트워크 구성으로 자동 생성됩니다.
적용 가능한 제품
  • 조직 정책 서비스
  • Virtual Private Cloud(VPC)
경로 constraints/compute.skipDefaultNetworkCreation
  • True
유형 불리언
관련 NIST-800-53 컨트롤
  • SC-7
  • SC-8
관련 CRI 프로필 컨트롤
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
관련 정보

외부 IP 주소가 허용되는 VM 인스턴스 목록 정의

Google 제어 ID VPC-CO-6.2
카테고리 필수
설명
compute.vmExternalIpAccess 목록 제약 조건은 외부 IP 주소를 가질 수 있는 Compute Engine VM 인스턴스의 집합을 정의합니다. 이 제약조건은 소급되지 않습니다.
적용 가능한 제품
  • 조직 정책 서비스
  • Virtual Private Cloud(VPC)
  • Compute Engine
경로 constraints/compute.vmExternalIpAccess
연산자 =
  • The list of VM instances in your organization that can have external IP addresses.
유형 목록
관련 NIST-800-53 컨트롤
  • SC-7
  • SC-8
관련 CRI 프로필 컨트롤
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
관련 정보

IP 전달을 사용 설정할 수 있는 VM 인스턴스 정의

Google 제어 ID VPC-CO-6.3
카테고리 필수
설명
compute.vmCanIpForward 제약조건은 IP 전달을 사용 설정할 수 있는 VM 인스턴스를 정의합니다. 기본적으로 모든 VM이 모든 가상 네트워크에서 IP 전달을 사용 설정할 수 있습니다. 다음 형식 중 하나를 사용하여 VM 인스턴스를 지정합니다.
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME
이 제약조건은 소급되지 않습니다.
적용 가능한 제품
  • 조직 정책 서비스
  • Virtual Private Cloud(VPC)
  • Compute Engine
경로 constraints/compute.vmCanIpForward
연산자 =
  • Your list of VM instances that can enable IP forwarding.
유형 목록
관련 NIST-800-53 컨트롤
  • SC-7
  • SC-8
관련 CRI 프로필 컨트롤
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
관련 정보

VM 중첩 가상화 사용 중지

Google 제어 ID VPC-CO-6.6
카테고리 필수
설명
compute.disableNestedVirtualization 불리언 제약 조건은 Compute Engine VM에 대해 하드웨어 가속 중첩 가상화를 사용 중지합니다.
적용 가능한 제품
  • 조직 정책 서비스
  • Virtual Private Cloud(VPC)
  • Compute Engine
경로 constraints/compute.disableNestedVirtualization
연산자 Is
  • True
유형 불리언
관련 NIST-800-53 컨트롤
  • SC-7
  • SC-8
관련 CRI 프로필 컨트롤
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
관련 정보

다음 단계